Nu cybercriminaliteit toeneemt, is het voor bedrijven belangrijk snel en effectief te kunnen reageren op beveiligingsincidenten. Wij vroegen Mark Van Tiggel, Director Security and Cyber Resilience bij Telenet, welke rol een Security Operations Center (SOC) daarbij speelt en hoe Telenet zijn eigen SOC inzet om interne systemen en klantenapplicaties te beschermen.
Wat is een Security Operations Center (SOC)?
“SOC staat voor Security Operations Center. Het is een team van mensen dat de dagdagelijkse securitytaken in een organisatie op zich neemt. Ze monitoren, detecteren en analyseren bedreigingen en beveiligingsincidenten, en ondernemen actie als dat nodig is.”
“De mensen van het SOC monitoren, detecteren en analyseren bedreigingen en beveiligingsincidenten, en ondernemen actie als dat nodig is.”
Mark van Tiggel
Director Security and Cyber Resilience bij Telenet
“Ons SOC staat in voor de enterprise security, de beveiliging van alle soft- en hardware die we bij Telenet gebruiken, zeg maar. Het gaat om onze firewalls, de laptops van onze medewerkers, onze CRM-applicaties, noem maar op … maar evengoed om klantenapplicaties als MyTelenet en Telenet TV. Ons team bestaat uit zo’n 20 mensen die alles 24/7 monitoren. Gebeurt er ergens iets verdacht – een vreemde inlogpoging bijvoorbeeld – dan schieten we in actie.”
Hoe wordt alles gemonitord in het SOC?
“Ons SOC heeft een eigen SIEM. Zo’n Security Information & Event Management- tool brengt alle loginformatie overzichtelijk samen op één plaats. In die SIEM staan ook alle detectieregels gedefinieerd: als we dit zien, moet er een melding gegenereerd worden en moeten we díe actie ondernemen. We werken volgens de SOAR-benadering, of Security Orchestration, Automation & Response. Alles wat we kunnen automatiseren, automatiseren we. Stel dat een bekend kwaadaardig IP-adres probeert in te loggen, dan wordt dat automatisch geblokkeerd.”
Hoe gaan jullie te werk bij een bedreiging?
“We werken met een cascadesysteem: er zijn drie ‘tiers’ of lagen van expertise. Per tier nemen de skills van de experts toe. Het grootste deel van ons team bestaat uit tier 1-medewerkers. Dat zijn de mensen die voor de schermen zitten en alles monitoren. Zij onderzoeken de alerts, de meldingen van mogelijke bedreigingen. De false positives (vals alarm) halen ze eruit, de true positives lossen ze op als er een procedure voor bestaat.”
“Bestaat er nog geen procedure, dan dispatchen ze het incident naar tier 2. Dat zijn onze analisten. Zij kijken verder dan het initiële incident: ze nemen ook andere activiteiten van de gebruiker onder de loep, gaan na of er bij andere applicaties óók verdacht gedrag te zien is enz. Zij kunnen incidenten naar tier 3-experts escaleren. Die staan dan in voor incident response en gaan indien nodig ook intern en extern communiceren.
Tier 3 zorgt ook voor de uitbreiding van onze SIEM: ze ontwikkelen use cases, waardoor we onze detectieregels kunnen verbeteren en uitbreiden, bijvoorbeeld door verbanden tussen incidenten te leggen die er voorheen niet waren.”
“Hackers plannen hun aanval vaak ’s nachts. Ze weten dat heel wat bedrijven hun systemen niet 24/7 monitoren en de responstijd dan hoger ligt.”
- Mark van Tiggel, Director Security and Cyber Resilience bij Telenet
Waarom is het SOC zo belangrijk?
“Hackers gaan steeds efficiënter te werk: kwetsbaarheden worden meteen uitgebuit, DDoS-aanvallen worden zwaarder, phishingmails zijn bijna niet meer te onderscheiden … Ze plannen hun aanval ook vaak ’s nachts of tijdens verlengde weekends en vakanties. Ze weten dat heel wat bedrijven hun systemen niet 24/7 monitoren, en dat de responstijd op zo’n momenten veel hoger ligt. Een bedrijf als Telenet kan zich niet permitteren om niet meteen te reageren, te meer omdat we een telcospeler zijn. Een SOC is voor ons dus echt onontbeerlijk. Door alle expertise in zo’n center te bundelen, is het ook makkelijk om onze kennis rond cybersecurity up-to-date te houden.”
Wat als je als bedrijf ook een SOC wil?
“Zelf een SOC opzetten, is natuurlijk niet zo evident. Enkel écht grote bedrijven investeren in een eigen SOC. Realistischer is om die monitoring uit te besteden. Telenet Business biedt zo’n dienst bijvoorbeeld aan z’n klanten aan. Als je als bedrijf intekent op ‘Managed Detection & Response’, zal het SOC van Telenet Business jouw netwerk, firewalls, applicaties enz. 24/7 monitoren en gepast reageren bij eventuele incidenten.”
Schrijf je in voor meer inspiratie*
Ontdek interviews, podcasts en andere content
Word uitgenodigd voor webinars, beurzen en netwerk-events
Download e-books en whitepapers
* We sturen je via e-mail op regelmatige basis onze content. Je ontvangt geen commerciële berichten of voorstellen. Uiteraard kan je op elk moment uitschrijven, of je voorkeuren aanpassen via de link onderaan elke e-mail. Door je in te schrijven aanvaard je het privacybeleid van Telenet.
